Processi e governance

Monitoraggio continuo e reporting DORA: dashboard, KPI e audit trail

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

DORA non è un adempimento annuale. Richiede monitoraggio continuo di rischi ICT, incidenti, fornitori, test, remediation e qualità dei dati. Un buon reporting trasforma eventi tecnici e attività compliance in indicatori leggibili: cosa sta migliorando, cosa è in ritardo, quali servizi sono esposti, quali fornitori generano concentrazione e quali decisioni servono al management.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

Il monitoraggio continuo evita che la conformità degradi dopo il progetto iniziale. Un nuovo fornitore può entrare nel perimetro, un contratto può cambiare, un test può evidenziare debolezze, un incidente può modificare la valutazione del rischio, un’autorità può richiedere dati aggiornati. Senza dashboard e audit trail, queste variazioni restano disperse.

Il reporting DORA deve essere costruito per destinatari diversi. Il CISO ha bisogno di indicatori tecnici e operativi; la compliance di stato requisiti ed evidenze; il risk manager di rischio residuo; il management di sintesi decisionale. Un unico report indistinto non serve a nessuno.

Quadro normativo e fonti ufficiali

Le fonti ufficiali DORA evidenziano obblighi continuativi su gestione del rischio ICT, incident reporting, test, fornitori ICT e Register of Information. La Banca d’Italia ha chiarito che le trasmissioni annuali del Register of Information, a partire dal 2026, prevedono termine al 15 marzo e data di riferimento al 31 dicembre dell’anno precedente, con controlli di qualità dei dati e possibili richieste di correzione. Questo rende il monitoraggio della qualità dati una componente essenziale.

Le fonti da usare come base sono il Regolamento (UE) 2022/2554 su EUR-Lex, la pagina EBA dedicata a DORA, gli atti delegati e di esecuzione della Commissione europea e, per gli operatori vigilati in Italia, le comunicazioni della Banca d’Italia su incidenti ICT e Register of Information.

Cosa significa per l'azienda

Per l’azienda, il monitoraggio continuo dovrebbe coprire almeno: stato dei requisiti DORA, aggiornamento ROI, incidenti e near miss, remediation aperte, test pianificati/eseguiti, fornitori critici, concentrazione ICT, policy in scadenza, formazione e audit finding.

Il reporting deve mantenere audit trail: chi ha modificato un dato, quando, perché, con quale evidenza. Senza tracciabilità, anche un buon indicatore può diventare fragile in verifica.

Metodo operativo per reporting DORA

  1. Definire KPI e KRI per ogni pilastro DORA, evitando indicatori solo quantitativi e poco utili.
  2. Stabilire frequenza di reporting: operativo, mensile, trimestrale, board-level e annuale.
  3. Collegare indicatori a dati sorgente: incidenti, fornitori, ROI, remediation, test, evidenze e policy.
  4. Monitorare qualità dei dati, soprattutto per Register of Information e contratti ICT.
  5. Creare soglie di escalation per remediation scadute, incidenti ripetuti, fornitori ad alto rischio e test falliti.
  6. Produrre report differenziati per team tecnico, compliance, risk e management.
  7. Conservare audit trail di modifiche, approvazioni, decisioni e correzioni.

Mappa pratica: requisito, controllo, evidenza

| Area | Domanda di controllo | Evidenza utile | Rischio se manca | |---|---|---|---| | Governance | Chi approva e riesamina il presidio? | Verbali, policy approvate, dashboard | Decisioni non dimostrabili | | ICT risk | Il rischio ICT è valutato e aggiornato? | Risk register, assessment, remediation | Rischio residuo non governato | | Incidenti | L'incidente viene classificato ed escalato? | Ticket, timeline, report, post-mortem | Ritardi e segnalazioni incoerenti | | Fornitori ICT | Il servizio esterno è censito e valutato? | ROI, contratto, assessment, exit strategy | Dipendenze non presidiate | | Test e continuità | La resilienza è provata periodicamente? | Piano test, risultati, lesson learned | Piani teorici non verificati |

Esempio pratico

Nel trimestre, una dashboard DORA mostra tre segnali: due remediation su fornitori critici sono scadute, un test di ripristino ha superato l’RTO previsto e il ROI contiene dati incompleti su subfornitori. Il report operativo assegna azioni a procurement, IT e compliance. Il report al management mostra l’impatto su servizi critici, rischio residuo, decisioni richieste e data di riesame. Il valore non è il grafico, ma la capacità di collegare numeri, rischi e responsabilità.

Errori comuni da evitare

Come GAPOFF aiuta

GAPOFF può centralizzare monitoraggio e reporting DORA con dashboard su requisiti, evidenze, incidenti, fornitori, remediation e test. Il modulo DORA fornisce vista per pilastro; Vendor Risk evidenzia criticità e concentrazione; Incident & Breach Ops traccia eventi e timeline; Trust Center supporta la condivisione controllata di evidenze. L’audit trail permette di ricostruire modifiche e decisioni nel tempo.

Collegamenti interni consigliati per il coding agent: Modulo GAPOFF DORA, Vendor Risk Management, Incident & Breach Ops, Business Continuity, Trust Center.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

Roadmap consigliata di mantenimento

| Frequenza | Attività | Output atteso | |---|---|---| | Settimanale | Verifica task aperti, incidenti e remediation scadute | Aggiornamento stato operativo | | Mensile | Riesame di gap, fornitori critici e qualità evidenze | Report per compliance e risk | | Trimestrale | Sintesi management su rischi, incidenti, test e budget | Dashboard executive e verbale | | Annuale | Riesame completo del framework e del Register of Information | Evidence pack e piano di miglioramento |

FAQ

Quali KPI usare per DORA?

Esempi utili sono remediation scadute, fornitori critici ad alto rischio, completezza ROI, incidenti classificati, tempi di escalation, test eseguiti, evidenze mancanti e policy in scadenza.

Il reporting DORA deve essere annuale?

No. Alcuni adempimenti hanno cadenze specifiche, ma la gestione del rischio ICT richiede monitoraggio continuativo e reporting periodico in base al rischio.

Perché la qualità dei dati ROI è così importante?

Perché il Register of Information è usato per rappresentare accordi ICT e dipendenze da terze parti. Dati incompleti o incoerenti possono generare richieste di correzione e rendere fragile la governance.

Che differenza c’è tra KPI e audit trail?

I KPI mostrano stato e trend. L’audit trail dimostra chi ha fatto cosa, quando e con quali evidenze. Servono entrambi.

Approfondimenti correlati
Processi e governance Governance DORA: modello organizzativo e controllo del rischio ICT Processi e governance Responsabilità del management in DORA: decisioni, budget e reporting al board Processi e governance Policy e procedure DORA: quali servono e come mantenerle aggiornate
Oppure passa all'azione: modulo DORA →
Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ

Quali KPI usare per DORA?

Esempi utili sono remediation scadute, fornitori critici ad alto rischio, completezza ROI, incidenti classificati, tempi di escalation, test eseguiti, evidenze mancanti e policy in scadenza.

Il reporting DORA deve essere annuale?

No. Alcuni adempimenti hanno cadenze specifiche, ma la gestione del rischio ICT richiede monitoraggio continuativo e reporting periodico in base al rischio.

Perché la qualità dei dati ROI è così importante?

Perché il Register of Information è usato per rappresentare accordi ICT e dipendenze da terze parti. Dati incompleti o incoerenti possono generare richieste di correzione e rendere fragile la governance.

Che differenza c’è tra KPI e audit trail?

I KPI mostrano stato e trend. L’audit trail dimostra chi ha fatto cosa, quando e con quali evidenze. Servono entrambi.

Fonti ufficiali e riferimenti
Contenuto informativo generale; non costituisce consulenza legale o parere professionale. Validare con consulenti qualificati e fonti ufficiali aggiornate.
Ultima revisione: 2026-05-19.